Az Azure DDoS Protection ismertetése

  • 4 perc

Bármely nagy vagy kicsi vállalat komoly hálózati támadás célpontja lehet. A támadások természete lehet, hogy nyilatkozatot tesz, vagy mert a támadó kihívást akart.

Elosztott szolgáltatásmegtagadási támadások

Az elosztott szolgáltatásmegtagadási (DDoS) támadás célja, hogy túlterhelje az erőforrásokat az alkalmazásokon és a kiszolgálókon, így azok nem válaszolnak vagy lassúak az eredeti felhasználók számára. A DDoS-támadás általában minden nyilvánosan elérhető eszközt céloz meg, amely az interneten keresztül érhető el.

A DDoS-támadás három leggyakoribb típusa:

  • Mennyiségi támadások: Ezek olyan kötetalapú támadások, amelyek látszólag jogszerű forgalommal árasztják el a hálózati réteget, túlterhelve a rendelkezésre álló sávszélességet. A jogos forgalom nem tud átjutni.
  • Protokolltámadások: A protokolltámadások elérhetetlenné teszik a célokat, ha a kiszolgálói erőforrásokat a 3. rétegbeli (hálózati) és a 4. rétegbeli (átviteli) protokollok gyengeségeit kihasználó hamis protokollkérelemekkel kimerítik.
  • Erőforrás-(alkalmazás-) réteg támadásai: Ezek a támadások webalkalmazás-csomagokat céloznak meg, hogy megzavarják az adatok gazdagépek közötti átvitelét.

Mi az az Azure DDoS Protection?

Az Azure DDoS Protection szolgáltatás célja az alkalmazások és kiszolgálók védelme a hálózati forgalom elemzésével és a DDoS-támadásnak tűnő elemek elvetésével.

Diagram showing network flow into Azure from both customers and attackers, and how Azure DDoS Protection filters out DDoS attacks.

Az Azure DDoS Protection szolgáltatás a 3. réteg (hálózati réteg) és a 4. réteg (átviteli réteg) védelmére szolgál. A legfontosabb előnyök a következők:

  • Folyamatos forgalomfigyelés: Az alkalmazás forgalmi mintáit a rendszer a nap 24 órájában, a hét 7 napján figyeli, és a DDoS-támadások jelzéseit keresi. Az Azure DDoS Protection azonnal és automatikusan mérsékli a támadást, amint észleli. A kockázatcsökkentés részeként a védett erőforrásba küldött forgalmat a DDoS védelmi szolgáltatás átirányítja, és számos ellenőrzést végez. Az Azure DDoS Protection elveti a támadási forgalmat, és továbbítja a fennmaradó forgalmat a kívánt célhelyre. A támadásészlelés után néhány percen belül értesítést kap az Azure Monitor metrikáiról.
  • Adaptív valós idejű hangolás: Az intelligens forgalomprofilozás idővel megtanulja az alkalmazás forgalmát, és kiválasztja és frissíti a szolgáltatásához legmegfelelőbb profilt. A profil a forgalom időbeli változásával változik.
  • DDoS Protection telemetria, monitorozás és riasztás: Az Azure DDoS Protection gazdag telemetriát tesz elérhetővé az Azure Monitoron keresztül. A DDoS Protection által használt Azure Monitor-metrikákhoz konfigurálhat riasztásokat. A naplózást integrálhatja az Azure Event Hubs, az Azure Monitor naplók és az Azure Storage használatával a speciális elemzéshez az Azure Monitor Diagnostics felületén keresztül.

Az Azure DDoS Protection két rétegtípust támogat, a DDoS IP Protectiont és a DDoS Network Protectiont. A szint az Azure Portalon van konfigurálva az Azure DDoS Protection konfigurálásakor.

  • DDoS Network Protection: A DDoS Network Protection szolgáltatás (termékváltozatként érhető el) az alkalmazástervezés ajánlott eljárásaival kombinálva továbbfejlesztett DDoS-kockázatcsökkentő funkciókat biztosít a DDoS-támadások elleni védelemhez. A rendszer automatikusan hangolja a virtuális hálózatban lévő azure-erőforrások védelmét. Protection is simple to enable on any new or existing virtual network, and it requires no application or resource changes.
  • DDoS IP Protection: A DDoS IP Protection egy fizetős, védett IP-modell. A DDoS IP Protection ugyanazokat az alapvető mérnöki funkciókat tartalmazza, mint a DDoS Network Protection, de abban különbözik, hogy nem tartalmazza az olyan hozzáadott értékű szolgáltatásokat, mint a DDoS gyorsreagálás támogatása, a költségvédelem és a webalkalmazási tűzfal (WAF) kedvezményei, amelyek a DDoS Network Protection részét képezik. A funkciók és a megfelelő szintek teljes listájáért tekintse meg az Azure DDoS Protection-szint összehasonlítása című témakört .

Gyakran felmerül egy gyakori kérdés, hogy miért érdemes DDos Protection-szolgáltatásokat hozzáadni, ha az Azure-ban futó szolgáltatásokat eredendően az alapértelmezett infrastruktúraszintű DDoS-védelem védi? Ennek az az oka, hogy az infrastruktúra védelmét biztosító védelem magasabb küszöbértéket biztosít, mint amennyit a legtöbb alkalmazás képes kezelni, és nem biztosít telemetriát vagy riasztást. Így bár a forgalom mennyiségét a platform ártalmatlannak tekintheti, pusztító lehet az azt fogadó alkalmazás számára. Az Azure DDoS Protection szolgáltatásba való előkészítéssel az alkalmazás dedikált monitorozást kap a támadások és az alkalmazásspecifikus küszöbértékek észleléséhez. A szolgáltatás olyan profillal lesz védve, amely a várt forgalommennyiségre van hangolva, és szigorúbb védelmet nyújt a DDoS-támadások ellen.

Ahogy már említettük, az Azure DDos Protection a 3. és a 4. rétegben is védelmet nyújt. A webalkalmazások 7. rétegbeli védelméhez (az alkalmazásréteghez) hozzá kell adnia a védelmet az alkalmazásréteghez egy webalkalmazási tűzfal (WAF) ajánlat használatával, amelyet a modul egy későbbi leckéjében ismertetünk.